WordPress 解決安全問題的理想設定是什麼？

問題描述

我知道 WP 對某些目錄和檔案是可寫的要求。我也知道，讓許可權過寬可以開啟安全漏洞。最後，我知道 (在這裡插入您的伺服器) 的使用者可以像在 Linux 系統上一樣執行。

安全在一邊，我喜歡下載主題和外掛到我的部落格，並在必要時進行更新。正確的許可權似乎與這種偏好有點不一致。

我在這裡和那裡收集了一些細節，但是我想看到一個更明確的答案，如果有一個：什麼是首選設定點頭安全？應該有哪些許可權，站點執行的使用者等等。

最佳解決方案

如果您有 FTP 訪問您的伺服器，最安全的安裝程式沒有您的主題或外掛目錄可由您的網路伺服器可寫，而是使用 FTP 的 WordPress 更新檔案。當您更新外掛時，WordPress 會提示您輸入您的 FTP 詳細資訊。

FTP 方法比直接檔案寫入慢很多，但是由於流氓指令碼無法修改檔案，因此它的安全性更高。

次佳解決方案

正如 @ Viper007Bond 所說，透過內建更新機制更新您的核心，外掛和主題是非常安全的，只要 file-permissions 可以使用，因為他們可以使用您的實際使用者憑據。為了最大的安全性，您需要確保安裝了 SSH2 PHP extension 。安裝方法 (如果可能) 可以從 host-to-host 變化，所以如果還沒有，那麼您可能需要詢問託管服務，或者做一些谷歌搜尋。

許多共享託管服務將在其 Apache 設定中使用 suexec，以便 Web 服務作為實際使用者執行。這消除了大多數許可權問題，並有助於保護您的檔案與伺服器上的其他使用者。但是，如果 Apache 作為單獨的使用者執行，如果要將檔案上傳到 WordPress 中，則必須開啟上傳目錄的許可權。

在這種情況下，您可能希望 wp-content/uploads 目錄具有 0713 許可權 (AKA rwx--x-wx) 。這給目錄所有者的完全許可權，他們的組可以讀取檔案，如果他們知道完整的路徑，而其他 (包括 Web 伺服器) 可以讀取他們知道路徑並可以建立/寫入檔案的檔案。

一些快取外掛也希望有一個可以寫入的 wp-content/cache 目錄 (或類似的) 。相同的許可權建議將適用於此。

最後，對於漂亮的永久連結，WordPress 需要能夠修改.htaccess 檔案，除非您打算手動更新。在這種情況下，您需要 0646 作為檔案模式。然而，一旦你已經定下了你的永久連結結構，你通常不需要再次更改，所以你可以關閉額外的寫入許可權，並將其設定為 0644 。有時，外掛或核心升級可能需要訪問它，您可以暫時將寫入許可權重新開啟，然後重新關閉。

所有其他檔案應具有 0644 許可權。如果您是 extra-paranoid，目錄應為 0711，但這可能會干擾任何需要從目錄中獲取檔案列表的外掛。在這種情況下，或者如果您不那麼偏執，請使用 0755，這將允許其他人讀取但不能寫入。

如果您是共享主機，大多數這是主要的問題。如果您有專用伺服器 (包括 VPS)，沒有其他使用者可以訪問 ssh /ftp，那麼您可以放鬆一點。我不是說你應該把所有內容都公開寫成，但你可能只是信任系統預設值，這可能是 0755 對目錄而不是 0711 的許可權。

如果它是一個選項，請獲得該站點安裝的 SSL 證書，一旦您測試過您可以透過 https 訪問您的站點，您可以強制使用 SSL 進行管理登入和訪問，只要在 wp-config.php 檔案之前新增這些行’Stop editing’ 評論：

define('FORCE_SSL_ADMIN', true);
define('FORCE_SSL_LOGIN', true);

參考文獻

• What is the ideal setup to address security concerns?

注：本文內容整合自 Google/Baidu/Bing 輔助翻譯的英文資料結果。如果您對結果不滿意，可以加入我們改善翻譯效果：薇曉朵技術論壇。